在默认情况下，Sniffer会接收网络中所有传输的数据包，但我们在分析网络协议查找网络故障时，有许多数据包不是我们需要的，这就要对捕获的数据进行过滤，只接收与分析的问题或者事件相关的数据。Sniffer提供了捕获数据包前的过滤规则和定义，过滤规则包括二、三层地址的定义和几百种协议的定义。这里介绍一下如何过滤通过本机发送的IP数据包。

　　在Sniffer Pro主窗口中，选择“Capture”菜单中的“Define Filter”选项，选择“Address”选项卡，如图20所示，在“Address”下拉列表中可以选择MAC，IP，IPX过滤，这里我们选择“IP”;在“Mode”中选择“Include(包含)”单选按钮，如果选择“Exclude”单选按钮，则表示捕获除此地址外所有的数据包;在Station列表中的一栏输入要过滤的IP地址，另一栏设置为“Any”，代表任何主机;在“Dir”列表中设置过滤条件，可以用逻辑关系如AND，OR，NOT等组合来设置。在Station列表中，可以设置多个条件，也就是可以过滤多个IP地址的连接。

　　图20 设置过滤的IP地址

　　选择“Advanced”选项卡，在这里可以定义要捕获哪些协议的数据包。例如，想捕获DNS，FTP，HTTP，NetBIOS等协议的数据包，可在TCP协议列表中，选中DNS，FTP，HTTP，NetBIOS等协议复选框;在“Packet Size”下拉列表中，可以选择要过滤的数据包的大小;在“Packet Type”列表框中，可以选择要捕获的数据包的类型，如图21所示。

　　图21 选择协议

　　选择“Buffer”选项卡，用来定义捕获包缓冲器，缓冲器占用的是计算机内存的一部分空间，如图22所示。在“Buffer size”中可以定义缓冲器的大小，默认为8MB;在“Packet size”中可以设置包的大小;在“When buffer is full(当缓冲器已满)”选项区域中，可以设置缓冲器满了以后，是“Stop capture(停止捕获)”还是“Wrap buffer(封装缓冲器)”;在“Capture buffer”选项区域可以设置捕获数据的自动保存功能。由于缓冲器会占用内存空间，如果计算机内存较小，要捕获的数据又很多，可以使用自动保存功能将捕获的数据直接保存硬盘，选中“Save to file(保存到文件)”复选框，在“Director”中设置要保存的文件路径，在“Filename”中设置文件名。

　　图22 设置缓冲器

　　如果没有使用自动保存功能，捕获数据后会自动显示出Expert对话框，用来分析数据;如果使用了自动保存功能，由于数据不再保存到缓冲器而是保存到文件，所以停止捕获以后再选择“Capture”菜单中的“Display”选项时，就要求选择打开的文件，此时需要选择在设置自动保存时的文件，才可打开。

　　完成以后单击“Profiles”按钮，显示“Capture Profiles”对话框，可以建立一个新的过滤器。默认已有一个名为“Default”的过滤器，单击“New”按钮显示“New Capture Profile”对话框，在“New Profile Name”文本框中为该过滤器定义一个名称，如图23所示，完成以后单击“OK”按钮。

　　图23 新建过滤器

　　最后，单击“确定”按钮保存所做的设置。然后，需要将所设置的过滤规则应用于捕获中。在Sniffer Pro主窗口中，选择“Monitor”菜单中的“Select Filter”选项，显示“Select Filter”对话框，选中“Apply monitor filter”复选框应用，并在列表框中选择所设置的过滤规则，如图24所示。

　　图24 选择过滤器

　　完成以后单击“确定”按钮，然后在Sniffer Pro主窗口中选择“Capture”菜单中的“Start”选项，此时，Sniffer Pro将会只捕获与本机计算机(192.168.1.178)连接的数据包，没有与本地连接的数据包将不再捕获，这样，便于管理员分析网络中的数据并找出问题所在。

　　7. 分析网络协议

　　网络问题对管理员来说很常见，因此管理员必须选择最好的方法来识别不同的网络故障，进行分析并解决。Sniffer Pro可以帮助管理员捕获网络流量，全面了解网络状况、分析捕获的信息。使用Sniffer Pro捕获的流量都会直接到达捕获缓冲器，捕获的数据还可以保存在硬盘，以备将来使用。在捕获流量时，既可以捕获所有数据，又可以过滤数据。如果捕获所有流量，可对网络所有数据有全面了解，但也可能因每秒通过网络的数据包过多，网络需要承载较大的数据量。因此，比较好的方法是定义一个过滤器，只捕获与管理员正在分析的问题有关的数据包。下面我们就介绍一下如何使用Sniffer Pro来捕获并分析ARP协议和ICMP协议。

　　(1) 捕获并分析ARP协议

　　ARP协议即地址识别协议，是网络中最重要的协议之一，它的作用是将网络设备的物理地址(MAC地址)自动映射成IP地址。

　　现在我们先定义一个过滤器，只捕获ARP数据包。在Sniffer Pro窗口中，选择“Capture”菜单中的“Define Filter”选项，显示“Define Filter”对话框，单击“Profiles”按钮来添加一个新过滤器，并命名为“ARP”，如图25所示。

　　图25 Define Filter

　　选择“Define Filter”对话框的“Advanced”选项卡，在协议列表中框中只选中“ARP”复选框。完成以后单击“确定”按钮，关闭过滤器定义窗口，一个ARP过滤器就设置成功了。现在就使用它来捕获一些数据。在Sniffer Pro窗口中选择“Capture”菜单中的“Start”选项开始捕获网络中的数据，经过一段时间后选择“Capture”菜单中的“Stop”选项停止捕获，并选择“Display”选项打开代码窗口，现在就可以开始分析捕获结果了。

　　(2) 分析ICMP协议来报告错误

　　ICMP协议即Internet控制信息协议，而且是TCP/IP协议的一部分，它是网络设备间报告错误的基于控制的协议。ICMP是一种非常强大的工具，允许我们报告20种以上不同的网络状况。

　　首先需要定义一个新的ICMP过滤器。在Sniffer Pro主窗口中，选择“Capture”菜单中的“Define Filter(定义过滤器)”选项，显示“Define Filter”对话框，单击“Profiles”按钮显示“Capture Profiles”对话框，单击“New”按钮定义一个名为ICMP的过滤器。完成以后在“Define Filter”对话框的“Advanced”选项卡中，只选中“IP”列表中的“ICMP”协议，最后单击“确定”按钮保存。

　　在Sniffer Pro主窗口中，选择“Capture”菜单中的“Start”选项开始捕获过程，向默认网关发送ping命令。选择“Stop”选项则可停止捕获。

　　由于ICMP信息是封装在IP数据包中的，而IP数据包又会封装在以太网帧中，因此，如果要彻底分析一个ICMP数据包，就必须查看这个数据包的所有部分，理解三种不同的文件头：DLC文件头，IP文件头和ICMP文件头。

　　当捕获数据完成以后，在“Expert”对话框中选择下面的“Decode”标签，展开“ICMP”列表，显示如图26所示。

　　图26 ICMP文件头

　　现在来分析各项内容：

　　Type=8(Echo)：ICMP Echo有两种类型，类型8是请求，而类型0是响应。

　　Code：该代码现在在ICMP Echo信息中并不常用，经常设定为0。

　　Checksum：IP文件头检验和不能用来证明高层协议数据的完整性，所以ICMP信息用自己的检验和来确保数据在传输过程中没有被中断。

　　Identifier与Sequence number：这些数字由发送方式生成，用来将响应与请求匹配在一起。

　　8. Sniffer Pro的其它工具

　　Sniffer Pro内置了一些其它的网络工具，可以对网络管理起到辅助作用。打开Sniffer Pro的“Tools”菜单，可以看到这里有ping，trace route，DNS lookup，finger，who is等，这些工具和Windows系统中相应的命令类似，管理员使用它们可测试连接，追踪路由等，而且使用起来更简单。例如，选择“ping”选项来使用ping命令，会显示如图27所示对话框，在“Host”框中输入要ping的IP地址或者域名，单击“OK”按钮就会自动ping了，并将结果显示在“Ping”窗口中。如果想再ping其它的地址，选择“Command”菜单中的“Ping”选项即可。

　　图27 Ping命令